Tecnología

Cómo actúa el virus bancario que vacía cuentas y que genera preocupación

El desafío es engañar a los analizadores de correo electrónico y usar un archivo aparentemente correcto, pero infectado, para llegar a la bandeja de entrada de la víctima. El archivo llega en la forma de un .zip; el típico formato de compresión de archivos.

miércoles, 10 de abril de 2019 · 16:00 hs

Analistas internacionales de virus encontraron una nueva campaña activa para propagar un viejo malware bancario a través de un método de vulneración de sistemas conocido como BOM. Es la primera vez que esta técnica se utiliza en la región y está dirigida especialmente a usuarios de Brasil y Chile.

El método de ataque consiste en esquivar la seguridad de los gestores de correo electrónico y lograr que un mail malicioso llegué a la bandeja de entrada de la víctima. Esta técnica, descubierta en 2013, consiste en añadir el prefijo BOM con el fin de evitar que se detecten algunos tipos de archivo. A través de esta vulnerabilidad, los atacantes envían correos electrónicos con archivos maliciosos -que no son detectados por los gestores de mail como Google Gmail- que infectan las máquinas de quienes abren los archivos.

Es por eso que para funcionar, la campaña depende casi enteramente de ataques estilo "spear-phishing" para aumentar el número de víctimas. El desafío es engañar a los analizadores de correo electrónico y usar un archivo aparentemente correcto, pero infectado, para llegar a la bandeja de entrada de la víctima. El archivo llega en la forma de un .zip; el típico formato de compresión de archivos.

El archivo infectado llega en format de archivo .zip con un nombre que imita a un archivo de texto PDF:

Así llega.

Desafortunadamente, algunas utilidades muy populares como WinRAR y 7-Zip simplemente ignoran el prefijo y extraen su contenido correctamente. Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, éste se ejecuta e infecta el sistema. Al descargar y ejecutar el programa, los usuarios en realidad están haciendo correr en sus máquinas un gestor de descargas del archivo malicioso.

Así aparece.

Finalmente, lo que se termina por descargar es una variante de un malware bancario conocido como RAT. Se trata un programa malicioso especialmente peligroso, ya que permite que el atacante obtenga total control de la cuenta bancaria de la víctima. Cuando se descarga este software, queda "escondido" en la máquina infectada a la espera de que la víctima ingrese a un sitio de homebanking. En ese momento, envía una señal a un C&C (una máquina que tiene comando y control del malware).

Así se ve una terminal de Comando y Control (C&C)

Desde la terminal de control, el atacante toma posesión de la cuenta bancaria del usuario mientras que el malware, inteligentemente, muestra una falsa pantalla de actualización de la página del banco. Por lo que el damnificado no puede ver que le están robando su cuenta; incluso si sucede frente a su narices.

El virus

La mejor defensa contra este tipo de estafas es desconfíar y estar atento a cualquier actividad inusual que suceda en el ciberespacio. Las buenas practicas incluyen no abrir archivos innecesarios o de remitentes desconocidos, confirmar que la información que pide la entidad bancaria es un proceso legítimo (llamando al banco o confirmando por terceras vías) y mantener al día las actualizaciones de seguridad.